Accès distant libvirt : gérer vos VMs KVM depuis n'importe où

Administrer un serveur KVM depuis votre poste de travail évite les connexions SSH multiples et permet d’utiliser l’interface graphique de virt-manager. Ce guide vous montre comment configurer l’accès distant de façon sécurisée.

À la fin de ce guide, vous saurez :

• Vous connecter à libvirt via SSH (méthode recommandée)
• Utiliser virsh en ligne de commande à distance
• Configurer virt-manager pour gérer des hôtes distants
• Comprendre les URIs de connexion libvirt
• Sécuriser l’accès (bonnes pratiques)

Prérequis

Sur votre poste de travail (client) :

• libvirt-client ou équivalent installé
• Clés SSH configurées (recommandé)
• virt-manager si vous voulez l’interface graphique

Sur le serveur KVM (distant) :

• libvirt installé et fonctionnel
• Service SSH actif
• Votre utilisateur dans le groupe libvirt

Comprendre les URIs de connexion libvirt

libvirt utilise des URIs (Uniform Resource Identifiers) pour identifier où se connecter. C’est comme une URL, mais pour les hyperviseurs.

Format général

driver[+transport]://[username@]hostname[:port]/path[?parameters]

Les URIs les plus courants

URI	Description	Sécurité
qemu:///system	Local, VMs système (root/libvirt)	—
qemu:///session	Local, VMs utilisateur	—
qemu+ssh://user@host/system	Distant via SSH	🔒 Chiffré
qemu+tcp://host/system	Distant via TCP	⚠️ Non chiffré
qemu+tls://host/system	Distant via TCP + TLS	🔒 Chiffré

Glissez pour voir

Recommandation

Utilisez toujours qemu+ssh:// pour l’accès distant. C’est simple, sécurisé, et ne nécessite aucune configuration côté serveur au-delà de SSH.

system vs session : la différence

URI	VMs visibles	Socket	Permissions
/system	Toutes les VMs de l’hôte	/run/libvirt/libvirt-sock	Groupe libvirt ou root
/session	VMs de l’utilisateur uniquement	$XDG_RUNTIME_DIR/libvirt/libvirt-sock	Utilisateur courant

Glissez pour voir

Pour l’administration serveur, utilisez toujours /system.

Méthode 1 : Connexion SSH (recommandée)

La connexion via SSH est la plus simple et la plus sécurisée. Elle utilise le tunnel SSH existant — pas de port supplémentaire à ouvrir.

Comment ça fonctionne

1. Votre client (virsh/virt-manager) ouvre une connexion SSH
2. Il exécute nc -U /run/libvirt/libvirt-sock sur le serveur
3. Toutes les commandes passent par ce tunnel

Vérifier les prérequis côté serveur

1. Vérifier que SSH fonctionne

   Depuis votre poste :

   ssh user@serveur-kvm hostname

   Doit afficher le hostname du serveur.

2. Vérifier que l’utilisateur est dans le groupe libvirt

   Sur le serveur :

   groups

   Sortie attendue :

   user libvirt kvm

   Si libvirt n’apparaît pas :

   sudo usermod -aG libvirt $USER
   # Puis se reconnecter

3. Vérifier que libvirt fonctionne localement

   Sur le serveur :

   virsh -c qemu:///system list --all

   Doit lister les VMs (même si la liste est vide).

Se connecter avec virsh

Depuis votre poste de travail :

virsh -c qemu+ssh://user@serveur-kvm/system list --all

Sortie attendue :

 Id   Name        State
-----------------------------
 1    web-prod    running
 -    db-backup   shut off

Première connexion

Lors de la première connexion, SSH vous demandera de valider l’empreinte du serveur :

The authenticity of host 'serveur-kvm' can't be established.
ED25519 key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no)?

Tapez yes pour continuer.

Simplifier avec un alias

Pour éviter de retaper l’URI complet à chaque fois :

Option 1 : Alias shell

Ajoutez dans ~/.bashrc ou ~/.zshrc :

alias virsh-prod='virsh -c qemu+ssh://admin@prod-kvm.example.com/system'
alias virsh-dev='virsh -c qemu+ssh://admin@dev-kvm.local/system'

Utilisation :

virsh-prod list --all
virsh-dev start ma-vm

Option 2 : Variable d’environnement

export LIBVIRT_DEFAULT_URI="qemu+ssh://admin@serveur-kvm/system"
virsh list --all  # Utilise automatiquement l'URI

Option 3 : Configuration SSH

Ajoutez dans ~/.ssh/config :

Host kvm-prod
    HostName prod-kvm.example.com
    User admin
    IdentityFile ~/.ssh/id_ed25519

Puis :

virsh -c qemu+ssh://kvm-prod/system list

Se connecter avec virt-manager

virt-manager permet de gérer plusieurs hôtes KVM avec une interface graphique.

1. Lancer virt-manager

   virt-manager

2. Ajouter une connexion

   • Menu File → Add Connection…
   • Ou clic droit dans la liste → Add Connection…

3. Configurer la connexion

   Champ	Valeur
   Hypervisor	QEMU/KVM
   Connection	✅ Connect to remote host over SSH
   Username	votre-user
   Hostname	serveur-kvm.example.com

   Glissez pour voir

   

4. Valider

   Cliquez sur Connect. Si vos clés SSH sont configurées, la connexion s’établit automatiquement.

Clés SSH sans passphrase

Pour une utilisation confortable de virt-manager, utilisez un agent SSH (ssh-agent) ou des clés sans passphrase (sur un poste sécurisé uniquement).

# Démarrer l'agent
eval $(ssh-agent)
# Ajouter votre clé
ssh-add ~/.ssh/id_ed25519

Dépannage SSH

Symptôme	Cause probable	Solution
Permission denied (publickey)	Clé SSH non configurée	Configurer l’authentification par clé
Cannot recv data: Connection reset by peer	Utilisateur pas dans groupe libvirt	sudo usermod -aG libvirt user
error: failed to connect socket	libvirt non démarré sur le serveur	sudo systemctl start libvirtd
Connexion très lente	Résolution DNS inverse	Ajouter UseDNS no dans /etc/ssh/sshd_config

Glissez pour voir

Tester la connexion manuellement :

# Vérifier que le socket est accessible via SSH
ssh user@serveur-kvm "ls -la /run/libvirt/libvirt-sock"

Sortie attendue :

srw-rw---- 1 root libvirt 0 Jan 31 10:00 /run/libvirt/libvirt-sock

Méthode 2 : Connexion TCP (avancé)

Sécurité

La connexion TCP sans TLS envoie les données en clair. N’utilisez cette méthode que sur un réseau isolé et de confiance (lab, réseau de management dédié).

La connexion TCP est utile quand :

• Vous ne pouvez pas utiliser SSH (restrictions réseau)
• Vous avez besoin de performances maximales (migration live)
• Vous avez un réseau de management isolé

Activer l’écoute TCP sur le serveur

1. Éditer la configuration libvirtd

   sudo nano /etc/libvirt/libvirtd.conf

   Décommentez ou ajoutez :

   # Écouter sur TCP (sans TLS pour le lab)
   listen_tls = 0
   listen_tcp = 1
   
   # Port d'écoute (16509 par défaut)
   tcp_port = "16509"
   
   # Adresse d'écoute (0.0.0.0 = toutes les interfaces)
   listen_addr = "0.0.0.0"
   
   # Authentification (none = pas d'auth, DANGEREUX)
   # Utilisez sasl pour de l'authentification
   auth_tcp = "none"

   Attention

   auth_tcp = "none" signifie que n’importe qui peut se connecter. En production, utilisez auth_tcp = "sasl" avec une configuration SASL appropriée.

2. Activer l’écoute réseau

   Pour les systèmes avec systemd, créez un override :

   sudo systemctl edit libvirtd

   Ajoutez :

   [Service]
   ExecStart=
   ExecStart=/usr/sbin/libvirtd --listen

   Ou modifiez /etc/default/libvirtd :

   LIBVIRTD_ARGS="--listen"

3. Redémarrer libvirtd

   sudo systemctl restart libvirtd

4. Vérifier l’écoute

   ss -tlnp | grep 16509

   Sortie attendue :

   LISTEN 0 128 0.0.0.0:16509 0.0.0.0:* users:(("libvirtd",pid=1234,fd=18))

5. Ouvrir le pare-feu

   sudo ufw allow 16509/tcp  # Ubuntu
   # ou
   sudo firewall-cmd --permanent --add-port=16509/tcp && sudo firewall-cmd --reload  # RHEL/Fedora

Se connecter via TCP

Depuis le client :

virsh -c qemu+tcp://serveur-kvm/system list --all

Connexion TLS (production)

Pour une connexion TCP sécurisée, utilisez TLS avec des certificats :

1. Générer une CA et des certificats (serveur + client)
2. Placer les certificats dans /etc/pki/libvirt/
3. Configurer listen_tls = 1 dans libvirtd.conf

Cette configuration est plus complexe. Pour la plupart des cas, SSH reste la meilleure option.

Commandes utiles à distance

Une fois connecté, toutes les commandes virsh fonctionnent normalement :

# Définir l'URI par défaut
export LIBVIRT_DEFAULT_URI="qemu+ssh://admin@kvm-server/system"

# Lister les VMs
virsh list --all

# Voir les infos d'une VM
virsh dominfo web-prod

# Démarrer/arrêter
virsh start ma-vm
virsh shutdown ma-vm

# Console série (avec échappement Ctrl+])
virsh console ma-vm

# Voir les logs QEMU (nécessite SSH direct)
ssh admin@kvm-server "tail -f /var/log/libvirt/qemu/web-prod.log"

Exécuter des commandes sur plusieurs hôtes

Script pour lister les VMs de plusieurs serveurs :

#!/bin/bash
# list-all-vms.sh - Liste les VMs de tous les serveurs KVM

SERVERS="kvm1.example.com kvm2.example.com kvm3.example.com"

for server in $SERVERS; do
  echo "=== $server ==="
  virsh -c qemu+ssh://admin@$server/system list --all 2>/dev/null || echo "  Connexion échouée"
  echo ""
done

Sécurité : bonnes pratiques

1. Utilisez SSH avec des clés

Jamais de mot de passe en clair. Configurez l’authentification par clé :

# Générer une clé si nécessaire
ssh-keygen -t ed25519 -C "admin-kvm"

# Copier sur le serveur
ssh-copy-id admin@kvm-server

2. Limitez les utilisateurs autorisés

Sur le serveur, seuls les utilisateurs nécessaires doivent être dans le groupe libvirt :

# Voir qui est dans le groupe
getent group libvirt

# Retirer un utilisateur
sudo gpasswd -d utilisateur libvirt

3. Utilisez des comptes dédiés

Ne pas utiliser root pour l’administration libvirt. Créez un compte dédié :

sudo useradd -m -G libvirt kvm-admin

4. Restreignez l’accès SSH

Dans /etc/ssh/sshd_config :

# Autoriser seulement certains utilisateurs
AllowUsers kvm-admin@192.168.1.0/24

# Désactiver root login
PermitRootLogin no

5. Configurez le pare-feu

SSH uniquement depuis les postes d’administration :

# UFW (Ubuntu)
sudo ufw allow from 192.168.1.100 to any port 22

# firewalld (RHEL/Fedora)
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept'

6. Auditez les connexions

Vérifiez régulièrement les connexions :

# Dernières connexions SSH
last -a | head -20

# Logs libvirt
journalctl -u libvirtd | grep -i "client"

Architecture multi-hôtes

Pour gérer plusieurs serveurs KVM, voici une architecture recommandée :

Dans virt-manager, vous pouvez ajouter les 3 connexions et basculer facilement entre les hôtes.

Erreurs fréquentes

Erreur	Cause	Solution
Failed to connect socket to '/run/libvirt/libvirt-sock'	libvirt non démarré	sudo systemctl start libvirtd
authentication failed	Utilisateur pas dans groupe libvirt	sudo usermod -aG libvirt user
Permission denied (publickey)	Pas de clé SSH	Configurer ssh-copy-id
Connection refused	Port non ouvert ou service arrêté	Vérifier firewall et service
error: End of file while reading data	Version libvirt incompatible	Mettre à jour client/serveur

Glissez pour voir

À retenir

1. SSH est la méthode recommandée — simple, sécurisé, pas de config serveur
2. URI = qemu+ssh://user@host/system — mémorisez ce format
3. Groupe libvirt obligatoire — sur le serveur, pour l’utilisateur distant
4. Clés SSH = confort — évite les mots de passe à chaque commande
5. TCP sans TLS = danger — uniquement sur réseau isolé de confiance
6. virt-manager = multi-hôtes — gérez tous vos serveurs depuis une interface

Prochaines étapes

Dépannage KVM Résoudre les 10 erreurs les plus fréquentes

Snapshots et clones Sauvegarder et dupliquer vos VMs

Commandes virsh Les 15 commandes essentielles

×

📖 Voir la documentation →